⚠ Rascunho para revisão jurídica. Este documento é uma versão boilerplate alinhada com o Regulamento Geral de Protecção de Dados (RGPD, Regulamento (UE) 2016/679) e com a Lei n.º 58/2019, de 8 de Agosto. Deve ser revisto e validado por advogado especialista em protecção de dados antes da publicação institucional, em particular nas secções relativas a base legal, retenção, partilha com terceiros e cookies.

Última actualização: pendente publicação após revisão jurídica.

1. Quem somos

O responsável pelo tratamento dos dados pessoais recolhidos através da Plataforma UndoWaste é:

By Fashion Ventures, LDA
NIF: [a confirmar]
Sede: [morada a confirmar]
Email: [email institucional a confirmar]

[Indicar se foi nomeado Encarregado de Protecção de Dados (DPO) e respectivos contactos. Para marketplaces B2B de pequena dimensão, a nomeação pode não ser obrigatória, conforme art. 37 do RGPD.]

2. A quem se aplica

Esta Política aplica-se aos dados pessoais de:

  • Representantes de empresas registadas como Utilizadores na Plataforma;
  • Visitantes do site, ainda que não registados, na medida em que sejam recolhidos cookies ou dados de navegação;
  • Contactos institucionais que comuniquem connosco através de email, formulário ou outros canais.

3. Dados que recolhemos

Os dados pessoais que recolhemos e tratamos incluem:

3.1 Dados de identificação e contacto

  • Nome do representante autorizado da empresa;
  • Denominação social, NIF e morada da empresa;
  • Endereço de correio electrónico;
  • Número de telefone (se fornecido);
  • Fotografia de perfil (se carregada pelo Utilizador).

3.2 Dados de utilização da Plataforma

  • Anúncios criados, materiais listados e respectivos atributos;
  • Negociações iniciadas ou recebidas, mensagens trocadas;
  • Transacções concluídas, com datas, valores e referências;
  • Selos de Origem emitidos, quando aplicável.

3.3 Dados bancários

No caso de Fornecedores que aceitem o caminho de Pagamento Seguro, recolhemos o IBAN e o nome do beneficiário, exclusivamente para processamento de pagamentos. Estes dados não são utilizados para outros fins.

3.4 Dados técnicos

  • Endereço IP e identificadores de dispositivo;
  • Browser, sistema operativo, idioma do navegador;
  • Páginas visitadas e tempo de sessão;
  • Cookies (ver secção 9).

4. Finalidades do tratamento

Tratamos os dados pessoais para as seguintes finalidades, com a respectiva base legal:

  • Gestão do registo e da conta na Plataforma — execução de contrato (art. 6.º, n.º 1, alínea b) do RGPD).
  • Operação do marketplace (publicação de anúncios, negociação, pagamento seguro, emissão de Selo de Origem) — execução de contrato (art. 6.º, n.º 1, alínea b)).
  • Cumprimento de obrigações fiscais e contabilísticas — cumprimento de obrigação legal (art. 6.º, n.º 1, alínea c)).
  • Cumprimento de obrigações regulatórias europeias (Digital Product Passport, ESPR, Empowering Consumers Directive, DSA) — cumprimento de obrigação legal (art. 6.º, n.º 1, alínea c)).
  • Comunicação transaccional (emails de confirmação, alertas de negociação, instruções de pagamento) — execução de contrato (art. 6.º, n.º 1, alínea b)).
  • Segurança da Plataforma (detecção de fraude, prevenção de abuso) — interesse legítimo (art. 6.º, n.º 1, alínea f)).
  • Melhoria do serviço e desenvolvimento de novas funcionalidades — interesse legítimo (art. 6.º, n.º 1, alínea f)).
  • Comunicação de marketing institucional (newsletter, novidades sobre o serviço) — apenas mediante consentimento prévio (art. 6.º, n.º 1, alínea a)). O titular pode retirar o consentimento a qualquer momento.

5. Com quem partilhamos os seus dados

Partilhamos dados pessoais com as seguintes categorias de destinatários:

5.1 Outros Utilizadores da Plataforma

No âmbito da operação do marketplace, alguns dados do seu perfil ficam visíveis a outros Utilizadores após autenticação:

  • Nome da empresa e fotografia de perfil são visíveis em anúncios, partner pages e negociações em que esteja envolvido;
  • Mensagens trocadas em negociação são visíveis aos parceiros dessa negociação;
  • Identidade verificada do Fornecedor é incluída no Selo de Origem público.

5.2 Prestadores de serviços

Recorremos a prestadores que actuam como subcontratantes nos termos do art. 28.º do RGPD, sob contrato que lhes impõe garantias adequadas de protecção dos dados:

  • Alojamento da Plataforma e bases de dados;
  • Envio de email transaccional;
  • Serviços de contabilidade e gestão fiscal;
  • Auditoria e consultoria jurídica, quando aplicável.

[Listar prestadores actuais com nome e localização. Manter lista actualizada e disponível mediante pedido.]

5.3 Autoridades públicas

Partilhamos dados quando legalmente exigido (autoridade fiscal, autoridade de protecção de dados, tribunais, autoridades policiais no exercício das suas competências).

5.4 Não vendemos dados

Não vendemos, alugamos ou cedemos a terceiros os dados pessoais para fins comerciais.

6. Transferências internacionais

Procuramos manter o tratamento de dados dentro do Espaço Económico Europeu. Quando um prestador estiver sediado fora do EEE, asseguramos que existem garantias adequadas, nomeadamente cláusulas contratuais-tipo aprovadas pela Comissão Europeia, decisões de adequação ou outras salvaguardas previstas no art. 46.º do RGPD.

[Indicar país de localização do data center actual e dos prestadores fora UE, se aplicáveis.]

7. Período de conservação

Conservamos os dados pessoais pelo período estritamente necessário às finalidades para as quais foram recolhidos:

  • Dados de conta activa: enquanto a conta estiver activa.
  • Dados de transacções: 10 (dez) anos a contar da conclusão da transacção, para cumprimento das obrigações fiscais portuguesas.
  • Dados associados a Selos de Origem emitidos: indefinidamente, para preservar a verificabilidade pública do certificado pela duração da sua vida útil regulatória.
  • Mensagens de negociação: 5 (cinco) anos a contar do encerramento da negociação, para fins de prova em eventual disputa.
  • Cookies de sessão: tempo de sessão (encerrados ao fim da sessão de browser).
  • Logs de acesso e segurança: 1 (um) ano, salvo necessidade de conservação por mais tempo para investigação de incidentes.

Após cancelamento da conta, os dados são anonimizados ou eliminados nos termos acima, salvo os dados que devam ser conservados por obrigação legal ou para prova em litígios.

8. Os seus direitos

Nos termos do RGPD, o titular dos dados tem os seguintes direitos:

  • Direito de acesso aos seus dados (art. 15.º);
  • Direito de rectificação de dados incorrectos ou desactualizados (art. 16.º);
  • Direito ao apagamento, também conhecido como direito ao esquecimento (art. 17.º), com as limitações decorrentes das obrigações legais de conservação;
  • Direito à limitação do tratamento (art. 18.º);
  • Direito à portabilidade dos dados (art. 20.º), em formato estruturado, de uso comum e leitura automática;
  • Direito de oposição ao tratamento baseado em interesse legítimo (art. 21.º);
  • Direito de retirar o consentimento, quando o tratamento se baseie em consentimento (art. 7.º), sem afectar a licitude do tratamento prévio;
  • Direito de apresentar reclamação à Comissão Nacional de Protecção de Dados (CNPD, www.cnpd.pt) ou à autoridade de controlo do seu Estado de residência.

Para exercer estes direitos, contacte-nos por email para [email a confirmar]. Responderemos no prazo legal de 1 (um) mês, prorrogável por mais 2 (dois) meses em casos particularmente complexos, com indicação dos motivos da prorrogação.

9. Cookies

A Plataforma utiliza cookies para o seu funcionamento e para análise de utilização. Distinguimos três categorias:

9.1 Cookies estritamente necessárias

Indispensáveis ao funcionamento da Plataforma, designadamente para autenticação e manutenção de sessão. Não requerem consentimento prévio.

9.2 Cookies funcionais

Permitem guardar preferências do utilizador (por exemplo, idioma). São utilizadas com consentimento, e podem ser bloqueadas pelo utilizador sem afectar o funcionamento essencial.

9.3 Cookies analíticas

Utilizadas para entender padrões de utilização agregados. [Indicar se utilizamos analytics: nome da ferramenta, finalidade, anonimização de IP.] São apenas activadas mediante consentimento.

O utilizador pode gerir as preferências de cookies em qualquer momento através das configurações do seu navegador, sem prejuízo da disponibilidade integral da Plataforma quando se trate de cookies estritamente necessárias.

10. Segurança dos dados

Implementamos medidas técnicas e organizativas adequadas à protecção dos dados pessoais contra acesso não autorizado, alteração, divulgação ou destruição:

  • Comunicações cifradas com TLS/HTTPS;
  • Palavras-passe armazenadas com função de hash criptográfica (bcrypt);
  • Acesso ao backoffice restrito a administradores autorizados;
  • Registos de auditoria sobre acções administrativas críticas;
  • Política interna de gestão de incidentes de segurança.

Em caso de violação de dados pessoais que possa apresentar risco para os direitos e liberdades dos titulares, notificaremos a CNPD no prazo de 72 horas e, quando aplicável, comunicaremos directamente aos titulares afectados.

11. Menores

A Plataforma destina-se a empresas e representantes adultos. Não recolhemos intencionalmente dados pessoais de menores de 18 anos. Se tomarmos conhecimento de uma situação que envolva dados de menor, procederemos à respectiva eliminação.

12. Alterações à Política

Podemos actualizar esta Política de Privacidade para reflectir alterações na Plataforma, nos serviços ou na legislação aplicável. As alterações entram em vigor 30 (trinta) dias após notificação aos Utilizadores por correio electrónico e publicação da nova versão.

O Utilizador pode, durante o pré-aviso, exercer os direitos previstos no RGPD, incluindo o encerramento da conta.

13. Contacto

Para questões relacionadas com esta Política ou com o tratamento dos seus dados pessoais:

By Fashion Ventures, LDA
Email: [a confirmar]
Morada: [a confirmar]

Notas para revisão jurídica final:

  • Confirmar nomeação (ou não) de DPO em função da escala dos tratamentos. Para marketplace B2B de pequena dimensão, frequentemente não é obrigatória.
  • Validar prazo de conservação dos dados associados a Selos de Origem. A escolha de "indefinidamente" é defensável (verificabilidade pública é a função do Selo), mas pode justificar prazo legal específico.
  • Validar lista de subcontratantes (art. 28.º) e respectivos países, em particular se o Coolify Apu ou outros prestadores estão fora UE.
  • Confirmar adequação à Lei n.º 58/2019, em particular nas matérias em que difere do RGPD.
  • Avaliar a inclusão de cookies analytics e, se sim, configurar correctamente o banner de consentimento.
  • Considerar versão internacional (EN) caso a base de utilizadores assim o justifique.